Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Debilidades en las contraseñas de Messenger y Hotmail
 
VSantivirus No. 368 - Año 5 - Miércoles 11 de julio de 2001

Debilidades en las contraseñas de Messenger y Hotmail

Existe un error en el sistema criptográfico de Hotmail y MSN Messenger, que permitiría conseguir con ciertos métodos, las claves de sus millones de casillas. Esta falla fue reportada hace un mes a Microsoft por su descubridor, sin haberse obtenido respuesta oficial aún.

MSN Messenger de Microsoft es una pequeña utilidad que permite establecer contacto instantáneo con cualquier otra persona conectada a Internet, en forma similar al conocido ICQ, con facilidades de chat, acceso a casillas de correo de Hotmail, etc.

Este software se instala por defecto con el Internet Explorer 5.5, o puede ser agregado independientemente por el usuario.

MSN Messenger utiliza su propio protocolo para comunicarse con servidores dedicados (de Microsoft), autentificándose en ellos con la misma contraseña usada para la casilla de correo de Hotmail que posea el usuario. Microsoft utiliza para ello un sistema propietario que denomina Passport.

Aunque esta contraseña es enviada encriptada, puede ser fácilmente despejada por diferentes métodos de intercepción y fuerza bruta.

Y aún cuando no existiera el bug reportado, el sistema criptográfico usado por el Messenger es muy débil, y puede ser fácilmente vulnerado.

El descubridor del bug ha escrito una utilidad capaz de despejar por la fuerza bruta, las claves enviadas entre la máquina del usuario y los servidores de Microsoft para la autenticación con Passport.

En el peor de los casos, se puede obtener una clave de 8 caracteres, en 12 días, en procesadores Athlon de 1 Ghz.

Pero existen usuarios antiguos de Hotmail que utilizan MSN Messenger con claves de menos caracteres, siendo estos mucho más vulnerables.

Por otra parte, el bug permite además, a un usuario malévolo que utilice técnicas de "spoofing" (que consiste en engañar a alguien, haciéndose pasar por quien no se es), acelerar el proceso de envío y desencriptación de la contraseña.

Combinaciones en el uso de esta técnica, pueden permitir que cuando el usuario está pidiéndolo al Messenger que abra su buzón, un atacante pueda enviar como respuesta otra dirección de Internet, con una página falsa de Hotmail, en la que puede hacer que ingrese datos de su interés (ver " VSantivirus No. 363 - Año 5 - Viernes 6 de julio de 2001, ¡Cuídese del fraude!. Ser víctimas de este SCAM es fácil").

Debido a que tanto Hotmail como MSN utilizan el mismo sistema de autentificación (Passport), la falla hace vulnerable a todos los millones de usuarios de estos servicios, por el solo hecho de tener una cuenta de correo en Hotmail.

El ataque puede ser realizado desde cualquier parte entre la víctima y los servidores MSN, o desde la propia red.

Las recomendaciones dadas para evitar los riesgos de esta vulnerabilidad, son las de utilizar claves de 9 caracteres o más, cambiándolas lo más regularmente que sea posible.

Y finalmente, se recomienda no utilizar servicios de correo gratuito (como Hotmail y otros), o mensajeros instantáneos (como MSN, ICQ, AOL, etc.), para el envío e intercambio de información corporativa o confidencial.


Fuente: http://www.neurocom.com
(c) Video Soft - http://www.videosoft.net.uy
 

Copyright 1996-2001 Video Soft BBS